V minulém díle jsem zakázali LOGY, které generuje MS Exchange nebo IIS.
Nyní máme na řadě oblast certifikátů.
Po instalaci MS Exchange Serveru 2016 se mám také vytvoří (tuším) 3 certifikáty.
Ale použití těchto certifikátů je v produkčním prostředí ... no prostě problematické.
Docela určitě můžeme s úspěchem použít placený (zakoupený certifikát), kde je dnes velký výběr.
Za všech snad mohu jmenovat prodejce, které jsem používal http://www.ssls.cz .
Mne však zajímalo, zda-li lze použít kvalitní certifikát, který je zdarma.
Jasně, pokud máme interní Certifikační autoritu šup tam s ním.
Jen jsou zde ještě určité problémy ... všem potenciálním zařízením musíme instalovat certifikát Certifikační autority.
Další možností je použít Certifikační autoritu ... v minulosti to byla třeba http://www.startssl.com, která nabízí zadarmo certifikáty pouze pro osobní a nekomerční použití.
Takže nám už jen zbývá nová a velmi mladá (nicméně ... zatím se zdá důveryhodná) Certifikační autorita Let’s Encrypt .
Pro MS Exchange Server 2016 potřebujeme SAN certifikát.
Aktuálně si nenabízí doménové certifikáty (*.doména.cz), ale je možno si zažádat o certifikát, která mám až 100 jmen.
Certifikáty jsou vydávány na 90 dnů ... ale to opravdu není problém ... skrz naplánované úlohu můžeme provádět automatickou obnovu.
Nejjednodušší možností, jak získat SAN certifikát pro MS Exchange Server 2016 je použití klienta (v prostředí MS Windows) letsencrypt-win-simple.
Podmínky použití:
- všechny názvy, které budeme dávat do SAN certifikátu musí být platné (validní)
- musíme zajistit přístup Certifikační Autority Let's Encrypt pro online ověření
(totiž jedná se o to, že IIS neumí praovat se soubory bez přípony ... v tomto případě obdržíte chybku Soubor nenalezen)
- musíme vypnout pro ověřovací adresář SSL
Konfigurace:
- konfigurace zde popsaná platí pro IIS 8 a vyšší (tedy od MS Windows Server 2012)
- vytvoříme adresář .well-known\acme-challenge v %SystemDrive%\inetpub\wwwroot
Příkazový řádek: md %SystemDrive%\inetpub\wwwroot\.well-known\acme-challenge
- následně v adresáři acme-challenge vytvoříme soubor web-config s následujícím obsahem:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<staticContent>
<clear/>
<mimeMap fileExtension = ".*" mimeType="text/json" />
</staticContent>
<handlers>
<clear />
<add name="StaticFile" path="*" verb="*" type="" modules="StaticFileModule,DefaultDocumentModule,DirectoryListingModule" scriptProcessor="" resourceType="Either" requireAccess="Read" allowPathInfo="false" preCondition="" responseBufferLimit="4194304" />
</handlers>
</system.webServer>
</configuration>
- a dále pro adresář acme-challenge musíme vypnout SSL ověřování
Spustíme IIS, přejdeme do Default Web Site a následne do adresáře .well-known\acme-challenge a v sekci IIS kliknene na SSL Settings a odškrtneme Require SSL a dáme Apply.
Spustíme IIS, přejdeme do Default Web Site a následne do adresáře .well-known\acme-challenge a v sekci IIS kliknene na SSL Settings a odškrtneme Require SSL a dáme Apply.
- vytvořit adresář ... úložiště certifikátů např. md C:\Central_SSL_STORE\
Instalace:
Stáhneme klienta a rozbalíme ... není nutno instalovat.
První použití - test žádosti:
Doporučuji před vlastní žádostí použít test žádost o certifikát ... v případě, že nebudou žádné chybky, můžeme zažádat o certifikát
letsencrypt.exe --accepttos --san --centralsslstore C:\Central_SSL_STORE\ --test
Poznámka:
Při prvním spuštění nás program požádá o veřejně dostupnou e-mail adresu.
Při prvním spuštění nás program požádá o veřejně dostupnou e-mail adresu.
V nabídce zvolíme M (Generate a certificate manually)
Na výzvu Enter Host Name zadáme např. jméno_serveru.domena.cz
Dale na výzvu Enter all Alternative Names zadáme všechny platná jména do SAN certifikátu oddělené čárkou např. takto: mail.doména.cz, autodiscover.doména.cz, server.domena.cz
Následně na výzvu Enter a site path zadáme cestu : %SystemDrive%\inetpub\wwwroot
Produkční použití:
Na příkazovém řádku spustíme:
letsencrypt.exe --accepttos --san --centralsslstore C:\Central_SSL_STORE\
... a zopakujeme postup výše uvedený
Obnova certifikátu:
V případě, že se nám nevytvoří (nebo nechceme, aby se nám vytvořila) automaticky naplánovaná úloha, tak si automatickou obnovu certifikátu vytvoříme tímto příkazovým řádkem:
letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/"
letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/"
Žádné komentáře:
Okomentovat